AVG wetgeving en voldoen aan de eisen

HOE HELPT MODIAM BIJ VOORBEREIDING OP DE GDPR?


Je zou denken dat IT-managers dolenthousiast zijn over GDPR, de nieuwe Europese privacywet die volgend jaar mei ingaat. Eindelijk een bakbeest van een reden om de toegang tot klantengegevens (en de beveiliging daarvan) helemaal dicht te timmeren. Nu móet de directie wel een flink budget vrijmaken voor alle benodigde software, licenties en awareness-cursussen voor medewerkers, wil het bedrijf niet geconfronteerd worden met torenhoge boetes. In de praktijk is het verhaal anders.
General Data Protection Regulation (GDPR)
Om goed voorbereid te zijn heeft de Autoriteit Persoonsgegevens (AP) de belangrijkste stappen die uw organisatie moet nemen, op een rijtje gezet. De belangrijkste punten zijn:  
(als eerste verschenen op www.blogit.nl) 
1. Rechten van betrokkenen:
Personen van wie je gegevens bewerkt krijgen meer privacyrechten. Het recht op inzage en het recht op correctie en verwijdering blijft bestaan, maar het recht op dataportabiliteit is nieuw. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen ontvangen én doorgeven aan een andere instantie.

Hoe werkt dit in de praktijk?
Veel organisaties werken met meerdere informatiesystemen naast elkaar. Bij correcties of verwijdering van persoonsgegevens moeten alle systemen aangepast worden. De kans is groot dat er een database niet bijgewerkt wordt. Om te voldoen aan de nieuwe wet moet je aantonen dat je alle informatiesystemen hebt aangepast. Als je gebruik maakt van een goed Identity Management oplossing hoef je alleen de gegevens in het bronsysteem (bijvoorbeeld AFAS of EduArte) aan te passen. Zo weet je zeker dat in alle systemen dezelfde gegevens genoteerd staan of verwijderd worden. Ook in geval van dataportabiliteit ben je ervan verzekerd dat je de meest volledige, recente informatie doorstuurt naar de aanvrager. 

2. Overzicht verwerkingen:
Breng in kaart welke persoonsgegevens je verwerkt, hoe en met welk doel je dit doet. Het is belangrijk niet alleen inzichtelijk te maken waar de data vandaan komt, maar ook met wie je de persoonsgegevens deelt. In geval van aanpassingen of verwijderingen moet je dit ook doorgeven aan deze derde partijen. 

Hoe werkt dit in de praktijk?
De meeste organisaties hebben tientallen toeleveranciers waarmee ze (gedeeltelijk) gegevens van hun klanten delen. Je kan de leveranciers die je regelmatig ingezet waarschijnlijk makkelijk noemen. Maar hoe zit het met de bedrijven waar je maar een keer per jaar zaken mee doet? Of personen die niet in dienst zijn, maar toch persoonlijke informatie onder ogen krijgen, zoals stagebegeleiders en dergelijke? 
Met een goed opgezet Identity Management systeem (IDM) weet je precies aan welke partijen je persoonlijke informatie doorgeeft. Omdat IDM een geautomatiseerd informatieproces realiseert, weet je ook met één druk op de knop wélke informatie wordt doorgegeven. 
3. Privacy by design & privacy by default:
Privacy by design betekent dat wanneer je producten of diensten bedenkt, de persoonsgegevens altijd goed worden beschermd. In geval van Privacy by default moet je technische en organisatorische maatregelen nemen om ervoor te zorgen dat je bedrijf alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. 

Hoe werkt dit in de praktijk?
Waarschijnlijk heeft je organisatie al wat nodige voorbereidingen getroffen. Maar let op, de nieuwe wet vereist ook dat je alleen noodzakelijke persoonsgegevens in de benodigde interne en externe systemen verwerkt. Informatie over geloofszaken of echtelijke status van klanten hoeven bijvoorbeeld niet gedeeld te worden met een bedrijf die je mailcampagne verzorgd. 
Met IDM kan je vooraf bepalen welke data wél en welke data níet, in welk systeem gedeeld mag worden. Door middel van deze vooraf- ingestelde procedures kan je aantonen dat je voldoet aan dit onderdeel van de GDPR-wet.
4. Meldplicht datalekken:
De GDPR vereist dat je alle datalekken documenteert. Op basis van deze documentatie kan de AP controleren of de organisatie aan de meldplicht voldoet. De huidige Wet bescherming persoonsgegevens heeft alleen betrekking op de gemelde datalekken, de nieuwe wet beslaat alle datalekken.

Hoe werkt dit in de praktijk?
Een datalek is niet altijd zichtbaar en heeft bovendien niet altijd consequenties. Als een werknemer een bestandje met klantengegevens naar zijn persoonlijke email stuurt om thuis uit te werken, is er in principe al sprake van een onveilige situatie. Verwijdert de werknemer na bewerking het bestand van zijn laptop, is er weinig aan de hand. Maar de kans is groot dat hij dit vergeet. Onopzettelijke datalekken zijn ook datalekken. De GDPR dwingt je maatregelen te nemen zodat bestanden niet zomaar gedeeld worden, dat kan bijvoorbeeld door het inzetten van data loss prevention-software (DLP). Ook is het belangrijk te weten wie wanneer toegang had tot welke bestanden. Ook dat kan RealOpen IT’s voor u inrichten! 

5. Bewerkersovereenkomsten:
Als de organisatie gebruik maakt van derde partijen die (gedeeltelijk) toegang hebben tot persoonsgegevens, dan moeten deze partijen (ook wel ‘verwerkers’ genoemd) een Bewerkersovereenkomst tekenen. Denk hierbij aan cloud service providers of het administratiekantoor. Het onderteken van het document door de verwerker moet je zelf initiëren. De overeenkomst regelt dat eventuele privacy-incidenten die de verwerker veroorzaakt, niet de verantwoordelijkheid is van de organisatie, maar van deze verwerker.

Hoe werkt dit in de praktijk?
Elke instantie moet de persoonsgegevens waarmee men werkt beveiligen tegen ongeoorloofde toegang. Een Identity Management (IDM) systeem kan ook als ‘bewerker’ worden gezien als het geplaatst is buiten de directe organisatie, zoals bijvoorbeeld bij een SaaS-oplossing. Om ervoor te zorgen dat voor alle partijen de verplichtingen en verantwoordelijkheden duidelijk zijn, is het belangrijk een bewerkersovereenkomst te sluiten. RealOpen IT erkent het belang hiervan en brengt deze overeenkomst actief onder de aandacht bij haar klanten.

Wilt u meer weten over de GDPR / AVG wetgeving of wilt u weten welke stappen u moet ondernemen om te voldoen aan alle eisen, dan kan RealOpen IT hulp bieden bij het bepalen van de acties die u als bedrijf moet ondernemen. Belt u ons of stuur ons een bericht, we helpen graag. 

Neem contact met ons op

REALOPEN IT
Informaticalaan 7
2628 ZD Delft

T: 015-256 8969
E: info@realopenit.nl
Share by: